May 2025
Intermediate to advanced
230 pages
2h 21m
Chinese
Content preview from 《实用云安全》,第二版
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
Start your free trial
第 7 章. 检测、应对和恢复安全事件
本作品已使用人工智能进行翻译。欢迎您提供反馈和意见:translation-feedback@oreilly.com
现在,您已经知道自己的云资产是什么,并为它们制定了一些合理的保护措施。 一切都很顺利,对吗?
当你读完一本悬疑小说的三分之二时,谜团似乎已经解开,你就知道故事还没有结束。 云安全》也还没有完结,这也许不是什么大惊小怪的事,因为这本书还有好几页没看完呢。
前面的章节都涉及了如何识别你的资产并保护它们。不幸的是,你并不总是能够成功。 事实上,在某些组织和行业中,小的安全事件是生活中司空见惯的事情! 在某些时候,攻击者几乎肯定会试图在未经授权的情况下访问您的资产,有时甚至会成功。 这时,诀窍就是尽快发现他们,将他们赶出去,并采取一切必要的损害控制措施。 作为其中的一部分,了解攻击者通常会做什么以及攻击通常如何进行是很有帮助的。
在过去的几年里,我们已经看到了许多备受瞩目的漏洞事件。 通常情况下,区分严重信息泄露和真正严重的信息泄露(没有好的信息泄露)的关键在于发现信息泄露所花费的时间以及受害者采取应对措施的效率。 最近对 550 多家企业进行的一项研究表明,发现漏洞的平均时间为 277 天,与那些发现漏洞时间超过 200 天的企业相比,发现漏洞时间少于 200 天的企业节省了 100 多万美元。有鉴于此,让我们来看看我们能做些什么来发现问题,并在它们变成灾难之前对其做出反应。
与传统 IT 的区别
在传统环境中,你不得不担心在这些层面上发生的事情。 云环境的好处是,入侵检测和响应是提供商在其负责的领域内的工作。在极少数情况下,您可能会受到提供商漏洞的影响,在这种情况下,您应该得到通知,并可能需要针对您正在使用的服务执行响应和恢复活动。 但是,在绝大多数情况下,您的所有检测、响应和恢复活动都将属于标有 "消费者责任 "的领域。
虽然有时您可以看到提供商代表您采取的行动,例如访问您的加密密钥,但在大多数情况下,您无法看到提供商负责的级别的任何日志。不过,在云环境中,特权用户日志有一个重要的新来源:您可以跟踪您的团队使用提供商的门户、API 和命令行界面所做的事情。
在云环境中,您不能接触物理硬件。 许多事件响应团队会使用带有取证笔记本电脑、硬盘驱动器复制器和类似技术的 "跳包"。 尽管在处理涉及非云基础设施的事件(例如,内部部署服务器上的恶意软件感染)时,您可能仍然需要此类工具,但在云环境中进行事件响应时,您将需要基于云的虚拟 "跳包 "工具。 这也意味着云事件响应的取证部分可以在任何地方完成,尽管与其他参与响应的人员在同一地点可能仍有好处。
看点
任何合理规模的系统都会提供大量不同的日志和指标,因此很容易被一些对安全无用的数据所掩盖。 ...